第5章 認証

5.1. PAM 認証の実装

Red Hat Satellite では PAM (Pluggable Authentication Modules) を使った LDAP や Kerberos などのネットワークベースの認証システムに対応しています。PAM は Satellite と中央管理型認証メカニズムの統合に役立つライブラリースイートになるため、複数のパスワードを覚えておく必要がなくなります。

注記

PAM 認証が正しく機能するよう pam-devel パッケージをインストールしてください。 
# yum install pam-devel
また、最新の selinux-policy-targeted パッケージに更新することも忘れないでください。 
# yum update selinux-policy-targeted

手順5.1 PAM を使用するよう Red Hat Satellite を設定する

  1. 以下のように allow_httpd_mod_auth_pam の SELinux ブール値を設定します。 
    # setsebool -P allow_httpd_mod_auth_pam 1
  2. テキストエディターで /etc/rhn/rhn.conf ファイルを開き、以下の行を追加します。 
    pam_auth_service = rhn-satellite
    PAM サービスファイルを /etc/pam.d/ ディレクトリー内に作成します。 
    # touch /etc/pam.d/rhn-satellite
  3. ファイルを編集し、使用する認証方法に応じて以下のいずれかを追加します。

    例5.1 SSSD 認証の場合

    #%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_sss.so
auth        required      pam_deny.so
account     sufficient    pam_sss.so
account     required      pam_deny.so

    例5.2 Kerberos 認証の場合

    #%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check

    例5.3 LDAP 認証の場合

    #%PAM-1.0
auth          required      pam_env.so
auth          sufficient    pam_ldap.so no_user_check
auth          required      pam_deny.so
account       required      pam_ldap.so no_user_check
    PAM 設定についての詳細は、『『Red Hat Enterprise Linux 導入ガイド』』の「『Pluggable Authentication Modules (PAM)』」の章を参照してください。

    注記

    Kerberos 認証を使用しているユーザーの場合は、kpasswd でパスワードを変更します。Red Hat Satellite の web サイトでパスワードを変更しないでください。この方法では Satellite サーバー上のローカルのパスワードしか変更できません。ユーザーに対して PAM が有効になっていると、ローカルのパスワードは使用されません。
  4. サービスを再起動して変更を反映させます。 
    # rhn-satellite restart
  5. ユーザーが PAM に対して認証を行えるようにするため、 Pluggable Authentication Modules (PAM) のチェックボックスを選択してください。このチェックボックスは、ユーザーの作成 ページのパスワードとパスワード確認のフィールドの下にあります。